みなさんこんにちは。昨年来の働き方改革や昨今のウィズコロナ時代のリモートワークの増加など、これまでと違った条件下での業務遂行を必要とされる声をあちこちで伺う機会が増えてきました。
これまでの就業環境と変わることで関心が高まっているのが「Salesforceへの安全なアクセス」。特にサイバーセキュリティに関わる事案やニュースを日本でも目にする機会が増えてきており「安全性と利便性を確立する上でSalesforceで何ができるのか?」そんなご質問も増えてきている実感があります。
そこで今回システム管理者の皆さまに、安全なアクセスを実現するために知っておいていただきたい情報をまとめました。
ぜひこちらのサイトを定期的にご確認いただき、安全で安心できる業務環境を構築していきましょう。
目次
1.安全なアクセスを実現するためのSalesforceとお客様の役割
Salesforceに対する安全なアクセスと一言でいっても、その安全なアクセスは製品として何ができるのかなどの「提供されているもの」と、その製品をどう使うのかなど「提供されているものをどう使うか」の視点は欠かせません。
この視点を、Salesforceが責任を持って提供すべきものと、お客様が責任を持って確認・判断・実行すべきもの、で表現したのが「Salesforceのセキュリティパートナーシップ」です。
Salesforceがその提供する製品において安全なアクセスを実現するための機能を提供し、その機能の利用を判断いただけるような情報を提供し、ある場合にはその機能を標準設定(デフォルト)として提供するなどの提供者としての責任を果たしつつ、お客さまにおいて、それぞれのコンプライアンス基準やセキュリティ基準に準拠した機能を検討・適用・監視・維持していただく活動を通じて、始めて持続的な安全なアクセス環境が実現できる。そんな相互の協力が不可欠な取り組みを表現しています。
2.境界防御の先にあるクラウド時代のセキュリティを考慮する
昨今のサイバー攻撃の方法の多様化や範囲の拡大の影響を考えると、最新のセキュリティ制御機能の理解と評価がお客さまにとってセキュリティ管理の上で重要性を増していることは間違いありません。
特に業務システムのクラウドシフトが進むにつれて、従来の境界防御モデル(FirewallやVPNなどで「信頼できる接続」によって社内・社外の境界を設けて、不正侵入や情報漏えいを防ぐモデル)だけでは安全性を担保しきれない環境に変わりつつあります(日本でもランサムウェアやVPN環境での情報漏えいなど境界防御だけで防ぎきれない事例が報告され始めています)。
この「すべてのユーザ・デバイス・アプリケーション・ネットワークが安全と言えず攻撃される可能性がある」状況に対応する「ゼロトラストモデル」が提唱され、それぞれの要素が脅威にさらされている前提でその防御のための対策が注目され始めており、Salesforceではその対策要素の一つであるIAM(Identitity and Access Management)の強化を通じてお客さまに安全なアクセス環境を提供する取り組みを推進しており、その具体的な施策として多要素認証(MFA : Multi Factor Authentication)の適用を推進しています。
この取組の重要性はSalesforceとお客さまだけの関係において重要というものではなく「お客さまの顧客」、例えばCommunity CloudやCommerce Cloudを通じて提供しているサービス利用者にあたる「お客さまの顧客やパートナー」向けにも安全性と利便性を両立したサービスを提供する手段として注目され始めています。
- 日本経済新聞 2020年8月24日 記事 VPN脆弱性対応、日本企業に隙「ゼロトラスト」不可欠
- 日本経済新聞 2020年8月25日 記事 VPN情報流出、懸念されるリスクは?
3.現在の利用状況と利用可能なセキュリティ制御機能を理解し評価する
Spring’21時点でSalesforceが多要素認証の機能を提供可能な製品は、Sales Cloud、Service Cloud、Salesforce Field Service[*1]、Platform、Experience Cloud (旧Community Cloud)、Salesforce Essentials、Analytics Cloud、Marketing Cloud (Datoroma、Email Studio、Mobile Studio、Journey Builder、Audience Studio(旧DMP)、Pardot)[*1]、B2C Commerce Cloud、B2B Commerce Cloud、インダストリ製品( Financial Services Cloud、Health Cloud、Manufacturing Cloud、Consumer Goods Cloud、Government Cloud、Philanthropy Cloud、Education Cloud[*1]、Nonprofit Cloud[*1])、 Mulesoft Anypoint Platform[*1]、Quip(Starter、Enterprise、for Customer360)[*1]です。他のすべての Salesforce 製品でも積極的に多要素認証の機能の開発に取り組んでおり、他の製品で 利用可能になった時点でリリースノートにてお知らせする予定です。
多要素認証やセキュリティ強化の対象となった機能については、各製品のリリースノートやヘルプ記事などを通じてその機能概要の説明や設定方法をご案内しておりますが、特に注力している多要素認証の概要や設定になどに関する情報はウェブセミナーやTrailblazer Communityなどを通じて英語だけでなく日本語でのガイダンス資料やデモ動画を提供し、お客さまの理解や評価に役立つ情報発信に努めています。参考リソースをご参照いただきご活用いただければと思います。
他の製品で MFA が利用可能になったら、リリースノートにてお知らせします。
4.適用・展開を計画する
最新のセキュリティ管理と機能をお客さま環境に適用・展開する方法は、「製品機能の理解」「セキュリティ管理の現状把握」「適用タイムラインの決定」を行う事前準備、事前準備に基づいて「特権的ユーザ数の最小化」「パイロットユーザへの適用」「パイロットユーザからの学び」を行う試行段階、試行段階の教訓を踏まえた全社適用に向けた「役員コミュニケーション計画」「ユーザとのコミュニケーション計画」「変更管理計画」を策定するオーソドックスな段階的展開が実行における課題や計画の実現性を高めるうえで望ましいと方法と考えています。
この計画に基づいてユーザへの「適用推進キャンペーン」など通じた適用推奨、その適用進捗を確認するため履歴設定やレポートやビューなどの監視設定、設定した監視情報のダッシュボード等を通じた定期的な適用状況監視により計画の進捗確認と適用促進を繰り返す事も不可欠の要素と言えます。
これらの適用準備や展開監視を支援するツールとして「セキュリティ管理の現状把握」にはセキュリティ状態チェック機能、「監視設定」や「適用状況監視」には2FAダッシュボードなどがSales Cloud、Service Cloud、Platformなどで利用可能ですので、これらツールを利用することも忘れずに覚えておきましょう。
- セキュリティ状態チェック(ヘルプ記事)
- 2FAダッシュボード(AppExchange)
5.SalesforceへのアクセスにおけるMFA要件 [*2]
認証ユーザの認証情報取得への攻撃が昨今さらに強くなっている環境における、安全なアクセスを担保する手段として2022年2月よりSalesforceへのアクセス時にMFAを要件とする旨のご案内を2021年2月に配信させていただきました。
このアクセス要件は認証ユーザにおけるセキュリティを複数の認証要素を用いることで担保するソリューションおよび情報提供を前述のセキュリティパートナーシップにおけるSalesforceの責任として提供する位置付けで、その適用対象は「UI経由でログインするSalesforceのInternal Userを対象に(組織外の認証ユーザとなるExperience Cloudの外部ユーザやChatter Freeや外部Chatterユーザ、E-Commerceのユーザ、および認証が発生しないゲストユーザ、システム間連携のために利用される都度UIログインが発生しないAPIやIntegration用ユーザは対象外)、Salesforceへのアクセス時に知っている情報(ユーザIDとパスワード)以外の要素での追加認証(AuthenticatorやHardware Keyなど各個人が持っている情報など)を必須とする内容となっています。
この対象ユーザのUI経由のログインは単純にSalesforceのログイン画面(UI)にユーザ名とパスワードを入力する最もシンプルな形態の場合には、その入力後に持っている情報(AuthenticatorやHardware Keyなど)を利用して本人を認証する事を意図していますが、複数システムを利用されているお客様においては別システムにおけるIDとパスワード認証を経てその認証情報をTokenなどの形態でSalesforceに連携させることでログインを完結させるSSO(Single Sign-On)を利用されるお客様も少なからずいらっしゃいます。この外部での認証情報をもってSalesforceにアクセスされているお客様においても、その外部認証時における多要素認証を実施いただいた上でSalesforceにアクセスいただく(前述のセキュリティパートナーシップにおけるお客様の責任に該当する内容)事がセキュリティ担保の上で不可欠となりますが、その適用状況(外部認証における多要素認証の適用)に関しては弊社で判断可能な内容ではございませんので、弊社にてその準拠状況を監視ならびに制御するもの、できるものではなく、お客様のビジネスにおける安全性確保の観点において是非ご対応いただきたい内容と考えています。
(補足 : Reverse Proxyなど代理認証も広義でのSSOと定義される場合もありますが、SAMLやOpenID Connectなどによる外部認証をSSOを定義しており、代理認証はSalesforceへの通常のUI経由のログインとして扱われるため追加の認証要素が必要となります)
考慮事項
本ブログは定期的に更新されます。毎月一度は必ずご確認ください。
最後に
いかがでしたでしょうか。今回ご紹介したSalesforceへの安全なアクセスの基本知識については、Trailheadで学習することも可能です。検討の基礎知識の再確認の意味でも、こちらのモジュールを完了させておきましょう。
- Trailheadで自己学習
参考リソース
- Salesforceのセキュリティの基本(ヘルプ記事)
- Summer’20 セキュリティ、プライバシー、ID(リリースノート)
- Salesforce セキュリティガイド(開発者ガイド)
- Salesforce 複数要素認証のFAQ(ヘルプ記事)
- 管理者向けガイド
- 多要素認証の管理者ガイド(日本語 : 更新[*1])
- 管理者向けのシステム管理者ガイド (日本語 : New[*1])
- Admin Guide to Multi Factor Authentication(English)
- * MFA - Getting Started *(Trailblazer Communityの多要素認証のグループ : 英語)
- Webセミナーの資料と動画(Trailblazer Community へのログイン要)
- 2020年8月28日 開催 より安全にSalesforceにアクセスするための「多要素認証」の設定
- 2020年9月25日 開催 Marketing Cloud 多要素認証 (MFA) の導入と設定
改定
[*1] Spring’21での対応状況を踏まえて更新
[*2] 2021年2月にご案内の”【重要】多要素認証への対応のお願い”の送信に基づく追記
- タグ
- #Chatter
- #Experience Cloud
- #Lightning
- #Lightningへの切り替え
- #Pardot
- #Sales Cloud
- #Salesforce Einstein
- #Tableau CRM
- #myTrailhead
- #セキュリティ
- #ダッシュボード
- #データの一括操作
- #データ品質
- #モバイル
- #ユーザ権限
- #レポート
- #運用ルール
- #営業の生産性
- #画面カスタマイズ
- #活動管理
- #基本操作
- #業務効率化
- #項目カスタマイズ
- #自動化
- #商談管理
- #情報の検索
- #新機能
- #定着化
- #売上向上
- #分析
- #予実管理
- #連携ツール
- Salesforce活用に役立つメルマガ登録
システム管理者のみなさまにおすすめの活用ウェブセミナーや、Salesforceでビジネスを推進いただくために有益なコンテンツを毎月お届けします。
